阿摩線上測驗
12. 依據 SANS 工業控制系統殺戮鏈(SANS Industrial Control System Kill Chain ), 若在營運技術網路 ( Operational Technology, OT)偵測到大量 Modbus 功能碼 0x10(Write Multiple Registers)的非預期封包,下列何種即時防禦措施最符合「最小影響但高效遏制」原則?
(A) 於核心路由器啟用 Geofencing 阻斷來源 IP
(B) 立即更新所有 PLC 韌體
(C) 立刻切斷工控網與 IT 網的所有連線
(D) 於入侵防禦系統(IPS)套用 Modbus 深度解析規則, 並將 Write 多筆暫存器行為設為只讀或阻斷
統計: A(7), B(0), C(5), D(46), E(0) #3536958
詳解 (共 2 筆)
這題正確答案是 (D) 於入侵防禦系統(IPS)套用 Modbus 深度解析規則,並將 Write 多筆暫存器行為設為只讀或阻斷 ✅
詳細解析
1. 題目重點
-
案例環境:OT (Operational Technology) / ICS (Industrial Control System)
-
攻擊跡象:大量 Modbus 功能碼 0x10 (Write Multiple Registers) 的「非預期」封包
-
Modbus 是工控常見的明文通訊協定,功能碼 0x10 可直接寫入 PLC 暫存器,代表有 控制邏輯被篡改風險。
-
-
原則:最小影響 (Minimal Impact) 但高效遏制 (Effective Containment)。
2. 選項分析
-
(A) 於核心路由器啟用 Geofencing 阻斷來源 IP
-
❌ 問題:ICS 流量通常來自內網或專用網段,不太可能是境外 IP;單純封鎖 IP 也容易被繞過。
-
屬於 粗暴封鎖,不符合「最小影響」。
-
-
(B) 立即更新所有 PLC 韌體
-
❌ 韌體更新屬於長期補救措施,且在緊急事件下進行更新有風險(會中斷生產線)。
-
不是「即時防禦」。
-
-
(C) 立刻切斷工控網與 IT 網的所有連線
-
❌ 雖然可以隔離威脅,但也會中斷業務運作,影響面積過大,不符合「最小影響」。
-
-
(D) 於入侵防禦系統(IPS)套用 Modbus 深度解析規則,並將 Write 多筆暫存器行為設為只讀或阻斷
-
✅ 精準對應攻擊手法 → 在 OT 環境用 協定層面深度封包檢測 (DPI) 來限制或阻斷惡意 Write 多筆暫存器 (0x10) 行為。
-
不會影響其他正常的讀取 (Read) 功能碼 (如 0x03 Read Holding Registers),因此符合「最小影響但高效遏制」。
-
3. 總結
在工控安全場景裡:
->精準協定層阻斷 (Protocol-aware IPS/IDS control) 才是最佳作法。